Comment créer un cluster EMR avec chiffrement de volume EBS ?

Brève description

Le chiffrement Amazon EBS s'intègre à AWS KMS pour fournir les clés de chiffrement qui protègent vos données. À partir de la version 5.24.0 d'Amazon EMR, vous pouvez choisir d'activer le chiffrement EBS. L'option de chiffrement EBS chiffre le volume du périphérique racine EBS et les volumes de stockage associés. Pour connaître les considérations et les limites, consultez la section Chiffrement du disque local.

Il existe deux options pour crypter les volumes EBS sur votre cluster EMR :

• Activez le chiffrement par défaut pour les volumes EBS au niveau du compte.
• Créez une clé KMS et une configuration de sécurité Amazon EMR pour chiffrer les volumes EBS pour un cluster EMR spécifique.

Solution

Activer le chiffrement par défaut pour les volumes EBS au niveau du compte

Pour plus d'informations, consultez la section Chiffrement par défaut.

Créez une clé KMS et une configuration de sécurité Amazon EMR pour chiffrer les volumes EBS pour un cluster EMR spécifique

Pour utiliser cette option, procédez comme suit :

1. Créer une clé KMS.
2. Créez et configurez la configuration de sécurité Amazon EMR.
3. Provisionnez un cluster EMR avec la configuration de sécurité.

Étape 1 : Créer une clé KMS

Si aucune clé KMS n'est prête à cet effet, procédez comme suit pour créer la clé :

1. Ouvrez la console AWS KMS.
2. Pour modifier la région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
3. Dans le volet de navigation, choisissez Customer managed keys (Clés gérées par le client).
4. Choisissez Create key (Créer une clé).
5. Pour Key type (Type de clé), sélectionnez Symmetric (Symétrique) pour créer une clé KMS de chiffrement symétrique.
6. Dans Key usage (Utilisation de la clé), l'option Encrypt and decrypt (Chiffrer et déchiffrer) est sélectionnée par défaut.
7. Choisissez Next (Suivant).
8. Entrez un alias pour la clé.
9. Choisissez Next (Suivant).
10. Choisissez l'administrateur de clés.
11. Choisissez Next (Suivant).
12. Sélectionnez la fonction du service Amazon EMR. Le rôle par défaut est EMR_DefaultRole.
13. Sélectionnez le profil d'instance Amazon Elastic Compute Cloud (Amazon EC2). Le rôle par défaut du profil d'instance est EMR_EC2_DefaultRole.
14. Choisissez Next (Suivant).
15. Sélectionnez Terminer.

Si vous utilisez une fonction du service Amazon EMR personnalisé, ajoutez la politique suivante au rôle avant de provisionner le cluster EMR.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "kms:Encrypt",
            "kms:Decrypt",
            "kms:ReEncrypt*",
            "kms:GenerateDataKey*",
            "kms:DescribeKey",
            "kms:CreateGrant",
            "kms:ListGrants"
        ],
        "Resource": [
            "arn:aws:kms:region:account-id:key/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"
        ]
    }]
}

Étape 2 : Création et configuration de la configuration de sécurité Amazon EMR

1. Ouvrez la console Amazon EMR.
2. Choisissez Configurations de sécurité.
3. Choisissez Create (Créer).
4. Sous Chiffrement du disque local, choisissez Activer le chiffrement au repos pour les disques locaux.
5. Pour Type de fournisseur de clés, choisissez AWS KMS.
6. Pour la clé principale du client AWS KMS, choisissez la clé ARN de votre clé KMS.
7. Sélectionnez Chiffrer les volumes EBS avec le chiffrement EBS.
8. Choisissez Create (Créer).

Étape 3 : provisionner un cluster EMR avec la configuration de sécurité

Si vous créez votre cluster EMR à l'aide de la console EMR, choisissez la configuration de sécurité que vous venez de créer à l'étape 4 : Sécurité.

Lorsque vous créez des clusters EMR par le biais d'autres méthodes, spécifiez la configuration de sécurité à l'aide de la configuration que vous venez de créer.